経産省JC-STAR窓口へ
公開質問を送りました

― 回答を乞うご期待 ―

株式会社I-S3は、JC-STAR制度について技術的・制度的観点から整理した8項目の質問を、経済産業省のJC-STAR関連窓口へ送付しました。本稿は制度批判ではなく、公開情報だけでは理解できない設計思想を正しく把握し、より信頼性の高い制度へ発展させることを目的とした問い合わせの記録です。経産省からの回答が届き次第、本ページに原文または要約を追記します。

公開: 2026年7月11日 | ステータス: 回答待ち | 解説動画3本(日・英・中) | 読了目安 15分

解説動画を見る 窓口メールアドレス 8項目の質問 想定される回答 議論ハブへ

回答待ち 2026年7月11日時点 — 経産省からの正式回答は未着。届き次第、本バナーと各問いの「想定回答」欄を更新します。
本ページの記法: 事実は送付済みの問い合わせ内容・公開資料に基づく記述。 考察はI-S3の制度分析。 想定は経産省がどのように回答しうるかの予測(断定ではありません)。 実際の回答とは異なる場合があります。

解説動画 — 読まなくても、動画だけで全体像がつかめます

経産省への8項目公開質問・横断する行政構造・想定される回答パターンを、日本語・英語・簡体中国語の3本で解説しています。サイト内でそのまま再生できます(各約8〜9分)。

言語タイトルサイト内視聴
日本語エンジニアの監査:JC-STARをデバッグする再生
EnglishThe JC-STAR Paradox再生
简体中文薛定谔的认证与JC-STAR审计再生

1. JC-STAR窓口メールアドレス

事実本問い合わせの送付先は、経済産業省のJC-STAR・分散型電源サイバーセキュリティ関連窓口として公開されている以下のメールアドレスです。

経済産業省 JC-STAR関連窓口

bzl-s-security-denga@meti.go.jp

考察メールアドレスの構成から、分散型電源(電力分野)のサイバーセキュリティを横断的に扱う窓口と推測されます。ただし、実際の回答は経産省内の専門部署だけでなく、下記のとおり複数主体にまたがる可能性が高いです。

2. なぜ今、経産省へ問い合わせたのか

JC-STARは、表向きは任意のIoTセキュリティ認証制度です。しかし2025年以降、系統連系手続き・補助事業・オークション等を通じて、日本市場への製品投入における実質的前提条件へと位置づけが変化しつつあります。

I-S3は、公開資料29点に基づく徹底調査レポートおよび一連の論考を通じ、次の論点を整理してきました。

これらは制度を否定するための問いではなく、2027年4月の系統連系要件化を前に、設計思想を正しく理解し、国際的にも説明可能な制度へ磨き上げるための問いです。

3. 制度運用の横断構造 — 誰が何を決めているのか

考察JC-STARの運用は、単一の「サイバー専門部署」だけで完結しているとは考えにくい構造です。公開資料と行政の慣行から、少なくとも以下の主体が絡み合っています。

経済産業省(製造産業局・情報政策) JC-STAR制度の所管。IoTセキュリティ認証の政策立案、IPAとの連携、電力分野サイバーセキュリティWGの主催。
資源エネルギー庁 グリッドコード検討会を通じた系統連系要件化。太陽光PCS・EMS等への★1適用範囲、風力Gateway限定の整理、2027年4月適用スケジュール。
内閣官房(経済安全保障) サプライチェーン・重要インフラの安全保障政策。JC-STARの「外国法的環境等」評価項目との接続が制度外から疑われる背景の一つ。
IPA(情報処理推進機構) JC-STARの運用主体。★1の自己適合宣言受理、経産省との非公開「確認作業」、製品リスト管理、不認証理由の非開示。
OCCTO・各送配電事業者 系統連系技術要件の実装。グリッドコード改定案の了承後、各社規程への落とし込み。
JET・評価機関 ★2以上の第三者評価。製造工場登録とJC-STAR取得製品の対応関係。

想定この横断構造が、問い合わせへの回答を遅らせ、あるいは回答内容に「技術認証としての一貫した説明」と「系統連系政策としての説明」が混在する現象を生む可能性があります。特に問い7(透明性)・問い6(外国法的環境)・問い1〜5(IEC 62443・認証境界)は、経産省単体では完結しない論点です。

4. 送付した8項目の質問(要約)

以下は送付メールの要約です。全文の趣旨は冒頭の8項目に対応しています。

問い 1 RS-485通信のみのPCSを認証対象とする理由

IP通信機能を持たずRS-485のみのPCSでは、インターネットとの通信境界はSmartLoggerやGateway等の外部機器にあるはず。それでもPCS単体をJC-STAR認証対象とする技術的理由は何か。

問い 2 IEC 62443との整合性

Zone & ConduitおよびBoundary Protectionによる全体防御の考え方に対し、JC-STARはBoundary Protectionだけでは不十分とするのか。その技術的根拠は。

問い 3 想定される脅威モデル

RS-485のみのPCSに対し、どのようなサイバー攻撃シナリオを想定しているか。Boundary Protectionで十分に低減できないと考える理由は。

問い 4 PCによる制御との関係

USB-RS485経由の汎用PCや、PC上のロガー機能実装は技術的に可能。PCS単体認証がどのようなセキュリティ向上効果をもたらすと期待されているか。

問い 5 制度が対象とするセキュリティ範囲

JC-STARはPCS単体の評価か、システム全体の評価か。Boundary Protectionで保護可能な構成にもPCS認証を要求する制度設計上の理由は。

問い 6 外国法的環境等の評価

「外国法的環境等」は純粋な技術的リスク評価か、経済安全保障上のリスク評価か。技術認証制度の中へどのような考え方で位置づけられているか。

問い 7 透明性および説明責任

任意認証でありながら実質的な市場参入条件となっている以上、不認証理由の非開示・審査過程の非公開・「政府が把握している情報」の総合判断について、説明可能性と予見可能性は確保できているか。

問い 8 制度の長期的な運営

国際相互認証や海外企業の利用も視野に入れた制度として、将来の国際情勢変化後も技術的合理性・説明可能性を維持した運営が可能な設計になっているか。

5. 経産省はどのように答えるか — 想定パターン

以下は、これまでの公開資料・行政回答の慣行・制度構造から推測した想定回答です。実際の回答を待たずに「こう答えるはず」と決めつけるものではなく、回答が届いたときに何が確認でき、何が依然として説明されないかを見極めるためのたたき台です。

5.1 回答全体のトーン(想定)

想定丁寧な挨拶とともに、「JC-STARは我が国のサイバーセキュリティ水準向上に資する重要な制度である」「2024年の実事案を受けた対応である」という政策目的の再確認から入る可能性が高い。問いの建設的な姿勢には感謝を示しつつ、個別の技術論点については公開資料の引用・IPA規程への誘導が中心になると予想されます。

5.2 問いごとの想定回答

問い1 — RS-485のみのPCS

想定 グリッドコード検討会資料の「通信機能を有する制御システム(PCS、EMS等)」という文言を引用し、PCSは制御対象であり、通信経路の有無にかかわらず対象に含まれると説明する可能性。RS-485とIPの区別には踏み込まず、「ゲートウェイを介さず主要構成製品に連携する場合は対象」等の注記を転記するパターンが想定されます。RS-485単体構成におけるTrust Boundaryの位置づけについて、直接的な技術的根拠は示されない可能性が高いです。

問い2 — IEC 62443との整合性

想定 JC-STAR★1の技術ベースラインはETSI EN 303 645(消費者向けIoT)であると説明し、IEC 62443との対応関係には言及しない、または「将来的な★2以上の検討において産業制御システムの考え方も参照する」程度の将来展望にとどまる可能性。Boundary Protectionだけでは不十分かという問いには、Yes/Noで明確に答えず、「多層防御」「製品のセキュリティ品質確保」の一般論で回避するパターンが想定されます。

問い3 — 脅威モデル

想定 2024年の遠隔監視機器へのサイバー攻撃事案、サプライチェーンリスク、不正な遠隔操作による出力制御改ざん等の一般的な脅威を列挙する可能性。RS-485経路を経由した具体的攻撃シナリオ(保守PC経由、ローカルバスへの横展開等)まで踏み込んだ説明は期待しにくい。Boundary Protectionで十分かという問いには、「製品自体の堅牢性も重要」という二層論で応じる想定です。

問い4 — PCによる制御

想定 本問いは制度設計の弱点を突く内容であり、明確な回答は困難と予想されます。想定パターンとしては、(a) 回答を省略する、(b) 「運用者の適切な管理が重要」とシステム運用責任へ話題を移す、(c) 「★1は製品の最低品質を担保するもの」という定型説明に留まる、のいずれか。PC上ロガー構成とPCS認証の因果関係については、正面からの技術的説明は得られない可能性が高いです。

問い5 — セキュリティ範囲(製品 vs システム)

想定 「JC-STARは製品のサイバーセキュリティ品質を評価する制度であり、システム全体の安全性は事業者の運用・構成管理において確保される」と整理する可能性が最も高い。これはIPA公開資料とも整合します。ただし、系統連系要件としてPCS単体を指定している政策上の理由(なぜ境界評価ではなく製品指定なのか)までは説明されない可能性があります。

問い6 — 外国法的環境等

想定 最も回答が難しい論点の一つ。想定パターンは、(a) IPA規程の評価項目として「総合的な判断」の一要素である旨を述べるが、技術的リスクと安全保障リスクの区別には触れない、(b) 回答をIPAへの照会に委ねる、(c) 安全保障に関する問いには回答を控える、のいずれか。技術認証の枠内で経済安全保障的要素をどう説明可能にするかは、本問い合わせの核心であり、ここが曖昧なまま返ってくる可能性を率直に想定しておく必要があります。

問い7 — 透明性・説明責任

想定 「JC-STARは任意の認証制度であり、系統連系要件化は別の政策判断である」と制度の層を分けて説明する可能性。不認証理由の非開示については、IPA規程の設計意図(企業秘密・安全保障情報等)を引用し、現行のまま正当化するパターンが想定されます。統計公表や審査過程の透明化に向けた具体的な改善計画を示す可能性は低い一方、「今後の制度運用において参考にさせていただく」等の姿勢表明はあり得ます。

問い8 — 長期的な運営

想定 英国PSTI等との相互承認拡大、海外企業の申請受付、制度の継続的見直しに言及する前向きな一般論が想定されます。ただし、「国際情勢が変化した場合に技術認証として整合性を保てる設計か」という問いの核心——技術基準と政策判断の分離可能性——には、明確な設計説明は得られない可能性があります。

5.3 想定回答パターンの一覧

問い回答あり(想定)回答なし・回避(想定)他主体への委譲(想定)
1 RS-485 PCS対象範囲の引用説明Trust Boundaryの技術根拠資源エネルギー庁(グリッドコード)
2 IEC 62443ETSI EN 303 645の説明Boundary不足のYes/No
3 脅威モデル一般論・2024年事案RS-485固有シナリオ
4 PC制御セキュリティ向上効果の具体説明運用者責任へ移管
5 製品/システム製品認証である旨政策上の製品指定理由
6 外国法的環境評価項目の存在確認技術/安保の区別IPA・内閣官房
7 透明性任意制度の説明改善計画・統計公表IPA
8 長期運営相互認証・見直しの一般論技術/政策の分離設計

想定 · 総括経産省の回答は、政策目的の再確認と公開資料の再掲が中心となり、問い1〜5の認証境界論・問い6の二重性・問い7の透明性については本質的な技術説明が不足したまま返ってくる可能性があります。それ自体が重要な情報です——「説明できない部分がどこか」が可視化されるからです。

6. 回答が届くまでに起きうる内部ルート

想定一般的な行政の問い合わせ処理を踏まえると、以下のようなルートが想定されます。

  1. 受付 — 窓口メールで受領、製造産業局または情報政策系の担当へ振り分け
  2. 技術系(問い1〜5) — 電力分野サイバーセキュリティWGの知見を参照。グリッドコード関連は資源エネルギー庁へ照会
  3. 制度運用系(問い6〜7) — IPAへ照会。外国法的環境については法務・経済安全保障担当との調整が入る可能性
  4. 調整・法務チェック — 回答文案の部内確認。安全保障・外交に触れる表現の取捨選択
  5. 回答送付 — 2週間〜数ヶ月。質問の性質上、一部のみ回答・残りは検討中という分割回答もあり得る

横断構造ゆえの混乱が、回答の遅延や内容の断片化として表れる可能性があります。それも制度運用の実態を示すデータポイントとして、本ページで記録します。

7. 回答が届いたら

経産省(またはIPA等の関連主体)から回答が届き次第、本ページを次のとおり更新します。

回答の公開範囲について、経産省の意向を尊重します。全文掲載が難しい場合は、要約と論点対応表を掲載します。